GB∕T30146-2023 《安全与韧性 业务连续性管理体系 要求》“10改进”理解与实施指导材料（2024A0）

“10改进”理解与实施指导材料GB∕T30146-2023《业务连续性与韧性业务连续性管理体系要求》“10改进”理解与实施指导材料过程预期结果BCMS的不符合和纠正措施：确保及时准确地识别和处理体系中的不符合，通过深入分析根本原因并采取有效的纠正措施，防止问题再次发生。这一过程强调对纠正效果的验证，旨在提高BCMS的稳健性和可靠性；BCMS的持续改进：通过不断优化资源配置、增强风险抵御能力、提高恢复效率以及保持与业务需求的一致性，推动BCMS成熟度的提升。同时，鼓励全员参与，建立持续改进的良性循环，使组织的业务连续性管理能力不断适应变化的市场和业务环境，确保业务的持续稳定运营。有关“10改进”术语不符合未满足要求。纠正为消除已发现的不合格所采取的措施。纠正可与纠正措施一起实施，或在其之前或之后实施。纠正措施为消除不合格的原因并防止再发生所采取的措施；一个不合格可以有若干个原因；采取纠正措施是为了防止再发生，而采取预防措施是为了防止发生。纠正措施有效性的评审对所实施的纠正措施充分控制根本原因的程度的评审。改进提高绩效的活动改进旨在提高绩效，关键在于改进活动是否能带来预期的绩效提升；改进可以是持续的循环过程，也可以是一次性任务；改进是一个持续评估、识别机会和实施措施的过程。持续改进提高绩效的循环活动为改进制定目标和寻求改进机会的过程是一个通过利用审核发现和审核结论、数据分析、管理评审或其他方法的持续过程，通常会产生纠正措施或预防措施持续并不意味着不间断，因此活动不必同时在所有领域发生8D问题解决步法解决问题的8个步骤，包括成立改善小组、描述问题、实施及确认暂时性的对策、原因分析及验证真因、选定及确认长期改善行动效果、解决问题并确认最终效果、预防再发生及标准化、肯定小组工作成果及规划未来方向总则建立不符合和纠正措施程序；不符合和纠正措施程序的目的：建立一套明确的程序来处理实际或潜在的不符合，确保组织能够迅速、有效地应对不符合（在BCMS实施过程中发现的任何偏差、错误或未能达到预期结果的情况），从而维护BCMS的可靠性和有效性。不符合和纠正措施程序的内容；纠正措施程序应详细说明如何识别、报告、调查、分析和解决不符合，包括确定不符合的根本原因、制定纠正措施计划、实施纠正措施以及验证其有效性。程序应规定在策划和实施纠正措施时的责任、权限和步骤。纠正措施程序应明确指定负责策划和实施纠正措施的人员或团队的责任和权限；程序还应详细规定实施纠正措施的具体步骤，包括必要的资源分配、时间表和监控机制等。。组织应确保纠正措施的实施是持续的过程，而不仅仅是一次性的活动。最高管理者应确保纠正措施得以实施，并对其有效性进行系统地跟进。最高管理者在组织内具有决策和监督的职责，他们应确保纠正措施得到充分的支持和资源，以便得以顺利实施；最高管理者还应建立一种机制来系统地跟进纠正措施的有效性。这可以通过定期的评审、评价和反馈来实现，以确保纠正措施能够带来预期的改进成果。组织应确定改进BCMS的机会并实施必要的措施，以实现预期结果。组织应确定改进BCMS的机会；组织应定期评价其业务连续性管理体系（BCMS）的有效性和效率，识别出存在的问题、不足或潜在的改进空间；在采取措施进行改进时，组织应考虑来自绩效分析和评价、内部审核和管理评审的结果；组织应改进BCMS的绩效和效率，即使没有不符合的证据。改进可以包括纠正，纠正措施，创新和重组对不符合的响应。实施必要的措施,以实现预期结果一旦识别出改进机会，组织应采取具体的行动来实施这些改进措施；改进措施的实施应旨在达到特定的目标或预期结果，如提高业务恢复速度、减少中断影响、增强组织的韧性等；组织应设定明确的绩效指标来衡量改进措施的有效性，确保这些措施能够带来实际的业务连续性改进和成果。不符合和纠正措施发现不符合的方法或途径发现不符合的方法或途径主要有以下几个方面：监视和测量：建立监视和测量机制，持续跟踪和评估BCMS的关键绩效指标，及时发现实际绩效与预期目标之间的偏差。绩效分析和评价。为确保BCMS持续有效，组织应定期评估其绩效，主要包括：关键绩效指标（KPIs）：确立与BCMS目标相关的KPIs，如RTO和RPO，并进行追踪评估；趋势分析：回顾KPIs的历史数据，识别趋势，预测未来需求；对比分析：与行业标准、最佳实践对比，评估BCMS的优劣势；充分利用内外部审核结果，其中包含对不符合的详细描述和改进建议，指导组织采取纠正措施内部审核：定期进行内部审核，全面评估BCMS的符合性和有效性，重点关注关键流程和活动，以发现潜在的不符合；外部审核和认证：邀请外部审核机构进行审核和认证，获取独立的意见和建议，发现不符合，并促进BCMS的改进。风险评估和监控：实施风险评估，识别潜在的威胁和脆弱性，并建立监控机制，实时跟踪BCMS的状态，及时发现不符合。管理评审：通过高层管理评审，审查BCMS的整体性能、目标实现情况和资源分配，识别出不符合和改进机会。相关方反馈：重视并采纳来自内部员工、外部合作伙伴、客户、监管机构等相关方的反馈，将其作为改进BCMS的重要依据。不符合记录与报告不符合记录与报告机制，组织能够及时发现、记录和报告BCMS运行过程中的不符合情况，为后续的原因分析、纠正措施制定和持续改进提供有力的支持。不符合记录与报告包括：发生地点：具体记录不符合发生的地点或位置，以便后续能够准确追踪和定位问题所在；时间：详细记录不符合发生的具体时间，包括发生的日期和具体时刻，这有助于分析不符合发生的时间规律和可能的原因；责任单位：明确指出对不符合负有直接责任的单位或部门，这有助于确保责任明确，促进问题的及时解决；不符合描述：提供详细的不符合情况描述，包括观察到的现象、涉及的人员、使用的设备等，以便能够全面、准确地了解不符合的实际情况；判定依据：列出判断不符合所依据的标准、规范或程序，确保不符合的判定具有明确和客观的依据；不符合性质：根据不符合的严重程度和影响范围，对不符合的性质进行分类，如严重、一般或轻微。这有助于组织对不符合进行优先级排序和制定相应的纠正措施。。处置不符合确定与控制不符合：一旦识别到不符合情况，组织应立即确定其性质和影响范围，并迅速采取措施进行控制、遏制，以防止问题扩大或恶化。同时，组织应着手纠正不符合情况，处理其产生的后果，并评估为消除不符合原因所需采取的措施。明确声明与纠正措施：组织应及时、明确地识别和处理不符合情况。纠正措施应源于清晰、明确的不符合声明，该声明应详细阐述存在的问题，确保所有相关人员都能准确理解。处理结果与验证：实施纠正措施后，组织应对其实施效果进行评估和验证，确保不符合情况已经得到妥善处理且不会再次发生。如果纠正措施未能达到预期效果，组织需要重新审视问题，调整措施并再次实施，直至不符合情况得到完全解决。最后，组织应将处理结果详细记录在不符合报告中，以便后续追踪、参考和持续改进。采取纠正措施为确保业务连续性管理体系（BCMS）的有效运行和持续改进，组织应采取纠正措施以消除不符合情况，并防止其再次发生或扩展到其他领域。具体步骤如下：评估行动需求。组织应通过以下方式评估是否需要采取行动以消除不符合情况：详细评审不符合情况：对每个不符合进行全面、深入的评审，以准确理解其性质、严重程度以及对业务连续性的潜在影响；确定不符合的原因：利用根本原因分析（RCA）、故障树分析（FTA）等方法，深入调查并确定导致不符合的根本原因；评估类似不符合的可能性：检查是否存在或可能发生类似的不符合情况，特别是在其他过程、区域或业务单元中，并采取相应的预防措施。评审现有业务连续性风险评价。在必要时，组织应对现有的业务连续性风险评价进行评审和更新：评估不符合对风险评价的影响：当发生不符合情况时，组织应重新评估这些不符合对现有业务连续性风险评价的影响；更新风险评价：如果不符合情况揭示了新的业务连续性风险或改变了现有风险的水平，组织应及时更新其业务连续性风险评价。确定并实施纠正措施；组织应制定并实施纠正措施计划以解决不符合情况：明确缓解所有后果的措施，确定为纠正不符合情况、恢复正常运营并消除根本原因所需的变更。措施的性质和时间安排应与不符合的规模、性质及潜在后果相适应。评审措施的有效性。实施纠正措施后，组织应定期评审这些措施的有效性：确保达到预期目标：定期评估措施的实施效果，以确保它们能够达到预期的业务连续性绩效目标；关注根源消除情况：特别关注纠正措施是否成功消除了不符合的根源，并有效防止了类似不符合情况的再次发生。必要时变更BCMS。如果评审结果显示现有的BCMS不足以应对新的或变更的风险，或者纠正措施的实施需要对BCMS进行重大修改，组织应考虑变更其BCMS：确保体现在BCMS文件中：任何对BCMS的变更都应确保在BCMS文件中得到体现；遵循变更管理程序：在变更BCMS时，组织应遵循其变更管理程序，并确保所有相关人员都了解并接受这些变更。保留成文信息。组织应保留有关不符合和纠正措施的成文信息作为证据：记录关键信息：记录不符合的性质、产生原因、所采取的措施以及实施结果等关键信息；与相关方沟通：及时、准确地与相关方沟通这些成文信息，以促进理解和合作。持续改进纠正措施和持续改进的区别纠正措施主要是解决BCMS中的具体问题和缺陷，确保其按预期工作；而持续改进则致力于提升BCMS的整体效率和效果，推动其不断向更高水平发展。两者相辅相成，共同构成BCMS持续改进和优化的完整循环。纠正措施：目的：纠正措施的主要目的是解决BCMS中存在的缺陷或不符合。当BCMS的某个部分或流程未能按预期工作时，纠正措施被用来修复这些问题，确保体系能够恢复正常并按预期运行。作用：纠正措施通常涉及对问题的根本原因分析，以及为防止问题再次发生而采取的特定行动。这些措施可能是修复故障、替换不合格组件、提供额外培训或修改流程等。持续改进。目的：持续改进的目标是提高BCMS的效率和效果，使其达到更高的性能水平。这不仅仅是对现有问题的反应，而是一种积极主动的方法，旨在不断优化和提升BCMS的整体性能。作用：持续改进涉及对BCMS各个方面的定期审查和评估，以识别潜在的改进机会。这可能包括优化流程、引入新技术、提高员工技能、改进管理策略等。通过持续改进，组织能够确保BCMS不断适应变化的需求和环境，保持其持续有效性和竞争力。利用分析与评审推动BCMS的持续改进考虑分析和评价的结果：组织需要全面考虑对BCMS的分析和评价结果，这包括对不符合的识别、风险评估、业务影响分析以及绩效评价等。这些分析和评价为组织提供了关于BCMS当前状态、存在的问题和改进潜力的深入理解。管理评审的输出：管理评审是高层管理对BCMS的定期审查，其输出通常包含对体系有效性、适应性和改进方向的判断。组织应认真对待管理评审的输出，将其作为指导BCMS持续改进的重要依据。确定需求和机会：基于分析和评价的结果以及管理评审的输出，组织应确定与业务或BCMS相关的改进需求和机会。这些需求和机会可能涉及到策略调整、资源优化、流程改进、技术更新或员工培训等方面。作为持续改进的一部分：组织应将识别出的需求和机会纳入其持续改进计划，确保这些改进活动与组织的整体战略和目标保持一致；组织在实施持续改进时，可以充分利用BCMS的现有过程，如领导力发展、策划过程的优化以及绩效评价的反馈机制等。这些过程不仅为持续改进提供了结构和方法，还有助于确保改进活动的系统性、一致性和可追溯性；通过持续改进，组织能够不断提升BCMS的成熟度、有效性和韧性，以更好地应对业务中断风险。基于PDCA循环的BCMS持续改进及其驱动力就BCMS的适宜性、充分性和有效性而言，持续改进在PDCA循环的所有层面运行，并宜由业务连续性方针和目标、审核结果、中断分析、管理评审、志向和期望的成熟度水平来驱动。持续改进在PDCA循环的所有层面运行：通过PDCA循环，在每个阶段不断识别改进机会，并实施相应的改进措施；业务连续性方针与目标的指导作用：业务连续性方针提供总体方向，而目标具体说明期望达到的水平；两者共同指导BCMS的持续改进；利用审核结果推动改进：通过内部和外部审核发现的不符合，为BCMS提供了改进的机会；组织应及时采取纠正措施，消除问题并防止再发生；中断分析与风险识别：分析历史中断事件有助于识别业务连续性的风险和脆弱点，进而确定BCMS的改进方向；管理评审与决策：高层领导通过管理评审评估BCMS的效果，确保其与业务需求一致，并做出改进决策；成熟度水平与改进动力：组织对BCMS的期望和成熟度要求是推动其持续改进的内在动力。随着需求的变化和认知的提升，组织应不断提升BCMS的成熟度。持续改进的机会识别与管理识别持续改进的机会；识别出改进的机会。通常涉及对当前业务连续性管理体系（BCMS）的各个方面进行评审，以确定存在的问题、不足或潜在的改进点；通过收集和分析数据、进行风险评估、评审过往的中断事件等方式，组织可以识别出需要解决的问题及其现状，即改进的空间。持续改进的管理一旦识别出改进的机会，组织需要对其进行有效的管理，以确保改进措施的实施和效果的实现‘管理过程包括确定当前的过程和控制措施，这有助于组织了解现有的BCMS运作情况，为后续的改进提供基础；在了解了当前状况后，组织需要决定要做出哪些变化以实现改进。这可能涉及修改现有的过程、引入新的控制措施、提供培训和支持等。与纠正措施相同的基本过程持续改进的过程与纠正措施的实施过程具有相似性。两者都需要首先识别问题或机会，然后分析当前状况，最后决定并实施相应的改进措施；组织可以借鉴在纠正措施实施中积累的经验和最佳实践，以更有效地进行持续改进。同时，持续改进也可以视为一种预防性的纠正措施，旨在预防潜在问题的发生并提高BCMS的整体绩效。持续改进的主要活动现状分析与改进区域识别；组织应收集和分析现有的业务连续性管理数据和信息，利用适当的统计和分析工具对数据进行深入解读，从而准确识别出存在问题的区域以及具有改进潜力的方面，为后续的改进活动奠定坚实基础。改进目标的设定；在现状分析的基础上，结合组织的业务连续性愿景和战略目标，制定具体、可衡量、且实际可行的改进目标。这些目标应明确改进的方向、预期达成的成果以及实施的时间表，为整个改进过程提供明确指引。解决办法的探索；为实现设定的改进目标，组织应积极鼓励员工和相关方提出可能的解决办法，并进行广泛的讨论和收集。随后，对这些解决办法进行初步评估，以确保其可行性和潜在的有效性。解决办法的评价与选择；建立起一套综合的评价准则，涵盖成本效益、技术可行性、业务连续性绩效等关键指标，对经过初步筛选的解决办法进行全面评价。最终选择出最佳或最符合组织实际需求的解决办法。解决办法的实施；针对选定的解决办法，组织应制定详尽的实施计划，明确资源分配、实施步骤和时间安排等关键要素。实施过程中应进行持续的监视和记录，确保计划的顺利推进并为后续的评估和改进提供宝贵的数据支持。实施结果的监视、测量与评价；建立起有效的监视和测量机制，定期收集和分析实施结果的数据。通过深入的统计分析，评估改进目标是否已经达成以及达成的程度，为后续决策提供坚实的数据支撑。更改的正式采纳；经过全面评估后，若更改被证明有效且符合组织的BCMS要求，则应及时将其纳入正式的BCMS文件中，确保更改在组织内部得到广泛认可和实施。结果评审与进一步改进机会的确定。定期组织对BCMS及其改进结果的评审会议，邀请相关方参与并共同讨论。根据评审结果，确定进一步的改进机会并制定详细的改进计划和行动方案，确保组织的BCMS不断完善和提升。附件A：基于过程方法的“10.1不符合和纠正措施”流程分析

过程输入活动（工作流程图）过程输出技术、工具和方法BCMS全面分析与评价结果管理评审输出与指导改进需求与机会的识别PDCA循环下的BCMS运行情况业务连续性方针与目标的指导作用内部与外部审核的不符合发现历史中断事件的分析与风险